8220 Gang APT IOCs - Part 2

security IOC

В период с января по февраль 2023 года специалисты FortiGuard Labs обнаружили полезную нагрузку, направленную на эксплуатируемый Oracle Weblogic Server в определенном URI. Эта полезная нагрузка извлекает ScrubCrypt, который обфусцирует и шифрует приложения и делает их способными обходить программы безопасности. У него уже есть обновленная версия, а веб-страница продавца гарантирует, что он может обойти Windows Defender и предоставляет функции антиотладки и обхода некоторых программ.

FortiGuard  проанализировали вредоносное ПО, внедренное в систему жертвы, и в рамках анализа определили действующее лицо угрозы как 8220 Gang, используя собранные индикаторы. Эта майнинговая группа впервые появилась в 2017 году. Название "8220" происходит от ее первоначального использования порта 8220 для сетевых коммуникаций.

Indicators of Compromise

IPv4

  • 163.123.142.210
  • 179.43.155.202
  • 185.17.0.19
  • 209.141.38.219
  • 45.142.122.11
  • 79.137.203.156

Domains

  • su-95.letmaker.top
  • work.letmaker.top

SHA256

  • 0159c3b4fdff4ba89ff9e56bf2cdcdc8aaaa35d1fa4661288225e3701f8569b5
  • 0767cfa1fb304ba5ef61d25ddc580cf82170b84e6a04c856e84c6ad3ad98dc92
  • 13a11140bc0c62fbc8a364f71dfdf91a3ef321bb8c9c212b3af5eb576488a95e
  • 15cc89335d137fde5c61e540cd1c77718653ed7f359b206aeb85f25e5928096a
  • 179be54b3c2e29571fec9dcd16781eee3ce997c5352d9cce4834a10fc11d636b
  • 20a8278b25d5c27e861dc5188f9ffd40fc45db4131245ce1020c6fa9909841d1
  • 21326ecbb4cf7fef735e04f8e51efd7c861f883844e22050eab8615c7605b2f5
  • 2ad4c954313fe912a64c4116bf7ec5cbd2e6e3a88979f7b7c2863ca21ffc9dd9
  • 3422e84ca8e1ce5b106415d074667721772a7a8e9de3cd911665bad42145926c
  • 4d3be48fd3dde635cccd87a9925749c5a166e9b52026b5277883c7f3ab50c520
  • 4e46e6ca8c993761238af82e33a98aee97e80a3c8c80d418fb410e9556788d97
  • 55ba36d2ee2c5359dec3a425d27df9c3fb1ddede8cef74fd0bd69d38434609fd
  • 57223450820cbe9cf5779083b7d85c440bb8b529505c55579bfcc5816bf5c80a
  • 84f8580343323b8534d2321c1b8789df544c4941e12d8dfa5a1fbcd201b97e72
  • 922c114c3a7f69b3210624f3e267cfc330969d17c5813cd328557b1476ef1858
  • 9e2ddef83a3043de6a1f655a556fe3eca522656ad5e6056dd92ad13fa354b32f
  • a12c34fef1d6475d99aa9af2e8bf1fd55bca83982a0ee2a9131ffd9fd15cb2a7
  • a9d0af5af4cebbcce59ad5ef823a8d0ec71147799692c03be784f9e1670467ca
  • b3ceead8490dd68c344d5b009a8bf17ed7d24499a9d66dc3493033b5696f6632
  • b62ea075cfc99980488bc206cba24ffcd4faccd8b1a80aec27d9d444c430095d
  • d6150fd4d9616788fcb6f765ab5052669feaf90ac926ad42a59f3abf4871edb8
  • d9e7d3dbb299f76bb8a84e3b72cc8e78e86ea90e2dc777cdcfd51dbd10657f47
  • e6834bbc9946e79f8888d30e52ae72552c37f160a8e6ce3f56ae5a88ed190e91
SEC-1275-1
Добавить комментарий